тором, сервером доступу, міжмережевим екраном. Суть механізму полягає в заміні адреси джерела (source) при проходженні пакета в одну сторону і зворотної заміні адреси призначення (destination) у відповідному пакеті. Поряд з адресами source / destination можуть також замінюватися номери портів source / destination. Крім source NAT (надання користувачам локальної мережі з внутрішніми адресами доступу до мережі Інтернет) часто застосовується також destination NAT, коли звернення ззовні транслюються міжмережевим екраном на сервер в локальній мережі, що має внутрішній адресу і тому недоступний ззовні мережі безпосередньо (без NAT).
Існує 3 базових концепції трансляції адрес: статична (Static Network Address Translation), динамічна (Dynamic Address Translation), маскарадний (NAPT, PAT). виконує дві важливі функції.
· Дозволяє заощадити IP-адреси, транслюючи декілька внутрішніх IP-адрес в один зовнішній публічний IP-адресу (або в декілька, але меншою кількістю, ніж внутрішніх).
· Дозволяє запобігти або обмежити обіг зовні до внутрішніх хостам, залишаючи можливість звернення зсередини назовні. При ініціації з'єднання зсередини мережі створюється трансляція. Відповідь пакети, що надходять зовні, відповідають створеної трансляції і тому пропускаються. Якщо для пакетів, що надходять зовні, відповідної трансляції не існує (а вона може бути створеною при ініціації з'єднання або статичної), вони не пропускаються.
Недоліки:
Не всі протоколи можуть «подолати» NAT. Деякі не в змозі працювати, якщо на шляху між взаємодіючими хостами є трансляція адрес. Деякі міжмережеві екрани, які здійснюють трансляцію IP-адрес, можуть виправити цей недолік, відповідним чином замінюючи IP-адреси не тільки в заголовках IP, але і на вищих рівнях (наприклад, в командах протоколу FTP). Див Application-level gateway.
Через трансляції адрес «багато в один» з'являються додаткові складнощі з ідентифікацією користувачів і необхідність зберігати повні логи трансляцій. DOS з боку вузла, що здійснює NAT - якщо NAT використовується для підключення багатьох користувачів до одного і того ж сервісу, це може викликати ілюзію DOS атаки на сервіс (безліч успішних і неуспішних спроб). Наприклад, надмірна кількість користувачів ICQ за NAT ом призводить до проблеми підключення деяких користувачів через перевищення допустимої швидкості коннектов до сервера. Частковим вирішенням проблеми є використання пулу адрес (групи адрес), для яких здійснюється трансляція.
Складнощі в роботі з пірінговимі мережами, в яких необхідно не тільки ініціювати вихідні з'єднання, але також приймати вхідні.
У своїй найпростішої конфігурації транслятор мережевих адрес (NAT) функціонує на маршрутизаторі, що з'єднує дві мережі; одна з цих мереж (спроектована як внутрішня) адресується за допомогою або приватних, або застарілих адрес, які потрібно конвертувати в легальні адреси, перед тим як пакети направляються в іншу мережу (спроектовану як зовнішня). Трансляція відбувається в кон'юнкції з маршрутизацією, таким чином, при бажанні трансляцію NAT можна просто виробляти на маршрутизаторі доступу до клієнтської частини Internet.
Компонент NAT, встановлений на маршрутизаторі, забезпечує трансляцію мережевих адрес в адреси області RFC 1631. Метою NAT є забезпечення повної функц...
